linux 用户及用户组管理

7、用户和用户组管理

7.1、用户配置文件

7.1.1 用户信息文件/etc/passwd

1、 用户管理简介

l 所以越是对服务器安全性要求高的服务器，越需要建立合理的用户权限等级制度和服务器操作规范。

l 在Linux中主要是通过用户配置文件来查看和修改用户信息

2、 /etc/passwd

l 第1字段：用户名称

l 第2字段：密码标志

l 第3字段：UID（用户ID）

¡ 0： 超级用户

¡ 1-499： 系统用户（伪用户）

¡ 500-65535： 普通用户(centos7 从1000开始计算)

l 第4字段：GID（用户初始组ID）[不推荐修改初始组]

l 第5字段：用户说明

l 第6字段：家目录

¡ 普通用户：/home/用户名/

¡ 超级用户：/root/

l 第7字段：登录之后的Shell

3、初始组和附加组

l 初始组：就是指用户一登录就立刻拥有这个用户组的相关权限，每个用户的初始组只能有一个，一般就是和这个用户的用户名相同的组名作为这个用户的初始组。

l 附加组：指用户可以加入多个其他的用户组，并拥有这些组的权限，附加组可以有多个。

4、Shell是什么

l Shell就是Linux的命令解释器。

l 在/etc/passwd当中，除了标准Shell是/bin/bash之外，还可以写如/sbin/nologin，/usr/bin/passwd等。

tips:暂时禁用用户，可以把/bin/bash -> /bin/nologin

7.1.2 影子文件/etc/shadow

1、 影子文件/etc/shadow

l 第1字段：用户名

l 第2字段：加密密码

¡ 加密算法升级为SHA512散列加密算法

¡ 如果密码位是“!!”或“*”代表没有密码，不能登录

l 第3字段：密码最后一次修改日期

¡ 使用1970年1月1日作为标准时间，每过一天时间戳加1

l 第4字段：两次密码的修改间隔时间（和第3字段相比）

l 第5字段：密码有效期（和第3字段相比）

l 第6字段：密码修改到期前的警告天数（和第5字段相比）

l 第7字段：密码过期后的宽限天数（和第5 字段相比）

¡ 0：代表密码过期后立即失效

¡ -1：则代表密码永远不会失效。

l 第8字段：账号失效时间

¡ 要用时间戳表示

l 第9字段：保留

2、 时间戳换算

l 把时间戳换算为日期

¡ date -d "1970-01-01 16066 days"

l 把日期换算为时间戳

¡ echo $(($(date[t1] --date="2014/01/06" +%s)/86400+1))

7.1.3 组信息文件/etc/group和组密码文件 /etc/gshadow

1、 组信息文件/etc/group

l 第一字段：组名

l 第二字段：组密码标志

l 第三字段：GID

l 第四字段：组中附加用户

2、 组密码文件/etc/gshadow

l 第一字段：组名

l 第二字段：组密码 (不推荐使用，可以理解为给组设置个小组长)

l 第三字段：组管理员用户名

l 第四字段：组中附加用户

7.2、用户管理相关文件

1、 用户的家目录

l 普通用户：/home/用户名/，所有者和所属组都是此用户，权限是700

l 超级用户：/root/，所有者和所属组都是root用户，权限是550

2、 用户的邮箱

l /var/spool/mail/用户名/

3、 用户模板目录

l /etc/skel/

7.3、用户管理命令

7.3.1 用户添加命令useradd

1、useradd命令格式

[root@localhost ~]#useradd [选项] 用户名

选项：

-u UID： 手工指定用户的UID号

-d 家目录： 手工指定用户的家目录

-c 用户说明： 手工指定用户的说明

-g 组名： 手工指定用户的初始组

-G 组名： 指定用户的附加组

-s shell： 手工指定用户的登录shell。默认是/bin/bash

2、添加默认用户

l [root@localhost ~]# useradd lamp

¡ [root@localhost ~]# grep "lamp" /etc/passwd l

¡ [root@localhost ~]# grep "lamp" /etc/shadow

¡ [root@localhost ~]# grep "lamp" /etc/group

¡ [root@localhost ~]# grep "lamp" /etc/gshadow

¡ [root@localhost ~]# ll -d /home/lamp/

¡ [root@localhost ~]# ll /var/spool/mail/lamp

3、指定选项添加用户

l groupadd lamp1

l useradd -u 550 -g lamp1 -G root -d /home/lamp1 \ -c "test user" -s /bin/bash lamp1

4、 用户默认值文件

l /etc/default/useradd

¡ GROUP=100 #用户默认组

¡ HOME=/home #用户家目录

¡ INACTIVE=-1 #密码过期宽限天数（7）

¡ EXPIRE= #密码失效时间（8）

¡ SHELL=/bin/bash #默认shell

¡ SKEL=/etc/skel #模板目录

¡ CREATE_MAIL_SPOOL=yes #是否建立邮箱

l /etc/login.defs

¡ PASS_MAX_DAYS 99999 #密码有效期（5）

¡ PASS_MIN_DAYS 0 #密码修改间隔（4）

¡ PASS_MIN_LEN 5 #密码最小5位（PAM）

¡ PASS_WARN_AGE 7 #密码到期警告（6）

¡ UID_MIN 500 #最小和最大UID范围

¡ GID_MAX 60000

¡ ENCRYPT_METHOD SHA512 #加密模式

7.3.2 修改用户密码passwd

1、 passwd命令格式

[root@localhost ~]#passwd [选项] 用户名

选项：

-S 查询用户密码的密码状态。仅root用户可用。

-l 暂时锁定用户。仅root用户可用

-u 解锁用户。仅root用户可用

--stdin 可以通过管道符输出的数据作为用户的密码。

2、 查看密码状态

[root@localhost ~]# passwd -S lamp

lamp PS 2013-01-06 0 99999 7 -1

#用户名 密码设定时间（2013-01-06） 密码修改间隔时间（0） #密码有效期（99999 ） 警告时间（7） 密码不失效（-1）

3、 锁定用户和解锁用户

l [root@localhost ~]# passwd -l lamp

l [root@localhost ~]# passwd -u lamp

4、 使用字符串作为用户的密码

l [root@localhost ~]# echo "123" | passwd --stdin lamp（shell脚本可能会用到）

tips:以下命令也可修改用户密码:

echo “新密码” | passwd --stdin 用户名

#这种方式虽然简单，但是通过history命令可以查到用户的密码，所以不安全。

7.3.3 修改用户信息usermod&修改用户密码状态chage

1、修改用户信息usermod

[root@localhost ~]#usermod [选项] 用户名

选项：

-u UID： 修改用户的UID号

-c 用户说明： 修改用户的说明信息

-G 组名： 修改用户的附加组

-L： 临时锁定用户（Lock）

-U： 解锁用户锁定（Unlock）

l [root@localhost ~]# usermod -c "test user" lamp

修改用户的说明

l [root@localhost ~]# usermod -G root lamp

把lamp用户加入root组

l [root@localhost ~]# usermod -L lamp

锁定用户

l [root@localhost ~]# usermod -U lamp

解锁用户

2、修改用户密码状态chage

[root@localhost ~]#chage [选项] 用户名

选项：

-l： 列出用户的详细密码状态

-d 日期： 修改密码最后一次更改日期（shadow3字段）

-m 天数： 两次密码修改间隔（4字段）

-M 天数： 密码有效期（5字段）

-W 天数： 密码过期前警告天数（6字段）

-I 天数： 密码过后宽限天数（7字段）

-E 日期： 账号失效时间（8字段）

l [root@localhost ~]# chage -d 0 lamp

这个命令其实是把密码修改日期归0了（shadow第3字段）#这样用户一登陆就要修改密码

7.3.4 删除用户userdel 用户切换命令su

1、 删除用户userdel

[root@localhost ~]# userdel [-r] 用户名

选项：

-r 删除用户的同时删除用户家目录

手工删除用户

l [root@localhost ~]# vi /etc/passwd

l [root@localhost ~]# vi /etc/shadow

l [root@localhost ~]# vi /etc/group

l [root@localhost ~]# vi /etc/gshadow

l [root@localhost ~]# rm -rf /var/spool/mail/lamp

l [root@localhost ~]# rm -rf /home/lamp/

2、 查看用户ID

[root@localhost ~]# id 用户名

3、 切换用户身份su

[root@localhost ~]# su [选项] 用户名

选项：

- ： 选项只使用“-”代表连带用户的环境变量一起切换 (env命令查看当前环境变量)

-c 命令： 仅执行一次命令，而不切换用户身份

l [lamp@localhost ~]$ su – root

#切换成root

l [lamp@localhost ~]$ su - root -c "useradd user3"

#不切换成root，但是执行useradd命令添加user1用户

7.4、用户组管理命令

1、添加用户组

[root@localhost ~]# groupadd [选项] 组名

选项：

-g GID 指定组ID

2、修改用户组

[root@localhost ~]# groupmod [选项] 组名

选项：

-g GID 修改组ID

-n 新组名 修改组名

例：[root@localhost ~]# groupmod -n yxlm lol

#把组名lol修改为yxlm

3、删除用户组

[root@localhost ~]# groupdel [选项] 组名

tips:删除组的时候，组内不允许有初始用户存在。

$ groupadd lol

$ useradd -g lol timo

$ useradd -G lol yasuo

因为timo是初始组是lol。删除lol会导致timo没有初始组。所以不可删。需要先删除用户。

而yasuo是附加组。可删。

4、 把用户添加入组或从组中删除

[root@localhost ~]# groupdel [选项[t2] ] 组名

选项：

-a 用户名： 把用户加入组

-d 用户名： 把用户从组中删除

双引号

可以使用du命令查看目录大小 du -sh 目录名